Se sabe que las vulnerabilidades de seguridad son comunes en la web: muchos sitios web son vulnerables. ¿Hay algún dato sobre qué fracción de los sitios web son vulnerables y qué fracción es segura?
El informe anual 2011 de WhiteHat Security tiene algunas estadísticas detalladas sobre los sitios web que monitorean, y qué fracción de ellos son vulnerables.
Aquí hay algunos puntos destacados:
El 84% de los sitios web fueron vulnerables durante al menos 30 días a partir de 2010. (En otras palabras, cuente el número de días en 2010 cuando el sitio web tenía al menos una vulnerabilidad grave. Para el 84% de los sitios web , este número fue de 30 días o más.) El 44% era vulnerable por cada día del 2010.
Aproximadamente la mitad de los sitios bancarios fueron vulnerables durante al menos 30 días de 2010. 16% fueron vulnerables por cada día de 2010.
La mayoría de los otros sectores fueron comparables a la tasa general de todos los sitios web. En otras palabras, los sitios bancarios son la excepción; todos los demás son bastante similares.
El sitio web promedio tuvo un total de 230 vulnerabilidades graves en un momento u otro en 2010. El sitio web bancario promedio tuvo un total de 30 vulnerabilidades graves en 2010.
De las vulnerabilidades que se han solucionado, el tiempo medio para solucionarlas es de aproximadamente 116 días (en todos los sitios web). (El número correspondiente para los sitios bancarios es de 13 días). Sin embargo, muchas de las vulnerabilidades no se han corregido, por lo que es probable que estas cifras subestimen el verdadero tiempo de reparación.
El informe define una vulnerabilidad grave como una que se clasificaría como de alta gravedad, crítica o urgente según el estándar PCI-DSS.
Parece que algo en el estadio de juego del 80% de los sitios web es vulnerable a varios ataques.
El estudio más reciente que he visto fue en 2008 por Seguridad de la aplicación web Consorcio [webappsec.org]. El estudio se compiló a partir de los resultados de ocho proyectos de evaluación de seguridad separados y tenía un tamaño de muestra total de 12186 aplicaciones web compuestas de varias industrias. El estudio es una lectura muy interesante, pero resumiré algunos de los puntos clave para usted aquí:
Tenga en cuenta que estas cifras tienen alrededor de cuatro años, y cuatro en años de internet es toda una vida (en otras palabras: tómelas con un grano de sal). Dicho esto, dudo mucho que se haya hecho algún cambio significativo en el porcentaje de sitios vulnerables.
En una nota ligeramente relacionada, si está interesado en otras estadísticas relacionadas con la seguridad, hay dos buenos sitios que publican informes de forma ligeramente más frecuente.
Veracode lanzó algunos datos sobre las aplicaciones web que han analizado . Aquí hay algunos puntos destacados.
Sobre el cumplimiento de los estándares de OWASP, que dicen que su aplicación no debería tener ninguna vulnerabilidad en el Top 10 de OWASP (ver Figura 24):
(Nota al pie: Esto es para el primer envío de la aplicación a su servicio.)
Sobre el cumplimiento de los estándares SANS, que requieren que no tenga ninguna vulnerabilidad en la lista de los 25 principales de SANS (consulte la Figura 25):
La metodología no está clara en el sitio web. No está claro cuántas de las aplicaciones web que no son compatibles son vulnerables (o, en realidad, cuántas de las aplicaciones web compatibles son vulnerables).
También informan estadísticas sobre la prevalencia de varias vulnerabilidades, en las aplicaciones web que han analizado (ver Tabla 7):
y
En resumen, parece que algo como al menos el 80% de las aplicaciones web son vulnerables, según sus estadísticas.
Lea otras preguntas en las etiquetas web-application appsec statistics